Una nueva campaña de distribución de malware está haciendo uso de errores falsos en Google Chrome, Microsoft Word y OneDrive. Según recoge BleepingComputer, el fin de estas falsas alertas es engañar a los usuarios y hacerles ejecutar “correcciones” maliciosas de PowerShell, con el fin de instalar malware en sus ordenadores. La campaña está siendo utilizada por diversos grupos de ciberdelincuentes, como ClearFake, ClickFix y TA571, este último conocido por distribuir grandes volúmenes de emails de spam con malware y ransomware.
En ataques anteriores, ClearFake utilizaba superposiciones de webs para incitar a los usuarios a instalar falsas actualizaciones del navegador. En los nuevos ataques, además de las superposiciones, los ciberdelincuentes emplean JavaScript en archivos adjuntos HTML y web comprometidas.
Según un informe de la empresa de ciberseguridad ProofPoint, estos mensajes de error engañan al usuario para que copie una supuesta corrección de PowerShell en el portapapeles, y luego la pegue y ejecute usando la función Ejecutar o en una consola PowerShell con permisos de administrador. “Aunque la cadena de ataque requiere una interacción significativa del usuario para tener éxito, la ingeniería social es lo suficientemente inteligente como para presentar a alguien lo que parece un problema real y una solución simultáneamente, lo que puede incitar a un usuario a actuar sin tener en cuenta el riesgo“, advierte la compañía.
Proofpoint ha identificado tres cadenas de ataque diferentes en sus etapas iniciales, de las cuales solo una no se atribuye con seguridad a TA571. En el primer caso, asociado a ClearFake, los usuarios visitan una web comprometida que carga un script malicioso alojado en la cadena de bloques de Binance. Este script muestra una falsa advertencia de Google Chrome y pide al visitante que instale un “certificado raíz” mediante la ejecución de un script PowerShell.
La segunda cadena de ataque, relacionada con una campaña de ClickFix, utiliza inyecciones en web comprometidas que crean iframes para mostrar errores falsos de Google Chrome, solicitando a los usuarios ejecutar comandos PowerShell. La tercera cadena de ataque utiliza emails con archivos adjuntos HTML que parecen documentos de Microsoft Word, pidiendo a los usuarios que instalen la extensión “Word Online” para ver el documento correctamente.
En todos los casos, los comandos PowerShell descargan y ejecutan archivos maliciosos, resultando en infecciones como Matanbuchus o DarkGate. Con estas nuevas campañas, los ciberdelincuentes se aprovechan de la falta de concienciación sobre los riesgos de ejecutar comandos PowerShell y de la incapacidad de Windows para detectar estas acciones maliciosas.
